10.5. リソースの復旧とリカバリ

インシデントレスポンスが進行中、CERT チームはデータとシステムの回復に努力しながら調査を行なう必要があります。残念ながら、侵害・妨害に一連の回復作業はつきものです。バックアップをとったり、オフラインにしたりと、この時には余剰システムが大変役に立ちます。

システムを回復するには、認証サーバー、データーベースサーバー、その他実稼働リソースなど、レスポンスチームはダウンしたシステムやアプリケーションをオンラインに戻さなければなりません。

追加ハードドライブ、hot-spare サーバー、または同様のものなど、実稼働用バックアップハードウェアをいつでも使用できる状態にしておくことを強くおすすめします。既製システムなら実稼働用ソフトウェアがすべてロードされすぐに使うことができるようになっているはずです。インポートする必要があるのは最新のデータ及び関連データのみでしょう。この既製システムは、残りのネットワークからは隔離しておくべきです。感染が発生しバックアップシステムがネットワークの一部になっていた場合、バックアップシステムが無意味になってしまいます。

システムのリカバリは退屈なプロセスかもしれません。多くの場合、2つの選択肢があります。真新しいオペレーティングシステムを感染した各システムに再インストールし、続いてすべてのアプリケーションとデータを復元します。または、攻撃を受けている脆弱性にパッチを当ててから、感染していたシステムを実稼働に戻します。

10.5.1. システムを再インストールする

OS の完全再インストールの実行を行なうと、感染したシステムからトロイ関連、バックドア、悪意のあるプロセスなどのすべてを一掃することになります。また、再インストールはすべての悪意ある改ざんがデータ(信頼できるバックアップソースから復元した場合)から一掃されます。システムの完全リカバリの不利な点は、システムを最初から再構築するのに時間を要することです。しかし、ホットバックアップシステムが利用可能であれば、最新のデータをダンプするだけですみ、システムのダウンタイムは大幅に軽減されます。

10.5.2. システムにパッチを当てる

感染したシステムにパッチを当てるのは、かなり危険であるため、十分に注意しながら行なってください。再インストールせずシステムにパッチを当てることに伴う問題は、トロイ関連、セキュリティホール、改ざんされたデータなどが、特定システムから一掃されているかどうか判定することです。ほとんどのrootkits(クラッカーがシステムにルートアクセス権を得るために使用するプログラムまたはパッケージ)、トロイシステムコマンド、シェル環境などは、大雑把な監査から悪意のある活動を隠すように設計されています。パッチを当てる方法をとった場合、信頼できるバイナリのみを使用してください(例、マウントされた読み取り専用CD-ROM)。